Può essere frustrante quando le persone che visitano il vostro sito vedono un errore del tipo “Could Not Establish Trust Relationship for the SSL/TLS Secure Channel with Authority” (cioè “Impossibile stabilire una relazione di fiducia per il canale sicuro SSL/TLS con l’autorità”). Questo genera una esperienza utente (UX) scarsa e penalizzante.
Sebbene esistano dei modi per aggirare questo messaggio, per esempio impostando nuove impostazioni a livello di sistema, questi metodi possono esporre il vostro sito web a rischi di sicurezza. Per fortuna potete risolvere il messaggio di errore in modo rapido e rendere le vostre pagine accessibili a tutte le persone che le visitano.
In genere, la soluzione al problema dipende dalla causa principale. Per esempio, potrebbe essere necessario aggiungere il certificato SSL del vostro sito web all’archivio di fiducia del vostro computer. Altre volte, può essere semplice aggiornare il browser.
In questo articolo vi presenteremo il messaggio di errore: “Could Not Establish Trust Relationship for the SSL/TLS Secure Channel with Authority”. Poi discuteremo alcune cause comuni del problema e vi mostreremo come risolverle. Iniziamo!
Introduzione all’Errore “Could Not Establish Trust Relationship for the SSL/TLS Secure Channel with Authority”
Potreste vedere molti errori sul vostro sito web, alcuni più problematici di altri. Per esempio, l’errore “La connessione non è privata” è piuttosto semplice da risolvere. Tuttavia, gli errori di connessione al database e gli errori di connessione sicura richiedono in genere una strategia diversa per la risoluzione dei problemi.
L’errore “Could Not Establish Trust Relationship for the SSL/TLS Secure Channel with Authority” significa che il browser non si fida del sito web. Il motivo più comune è che il browser non riesce a verificare il certificato SSL del sito, ovvero non riesce a confermarne l’identità.
Con questo errore non è possibile stabilire una connessione sicura e crittografata con il server. Pertanto, il vostro browser potrebbe invitarvi a non visitare il sito.
Come visitatore, può essere frustrante vedere questo errore perché non potete accedere ai contenuti che desiderate. D’altro canto, il messaggio di errore sul vostro sito può danneggiare la reputazione della vostra azienda, facendola apparire inaffidabile. I visitatori potrebbero addirittura pensare che non tenete alla loro sicurezza.
Una Panoramica su SSL e TLS
SSL (Secure Sockets Layers) e TLS (Transport Layer Security) sono protocolli crittografici che criptano i dati e autenticano le connessioni sicure.
Tuttavia, ci sono delle differenze tra SSL e TLS. In particolare, TLS è una versione più recente di SSL. Ciò significa che TLS risolve alcune vulnerabilità dei precedenti protocolli SSL.
Come abbiamo già detto, lo SSL è necessario per proteggere i dati del vostro sito web. Quando una persona cerca di accedere al vostro sito, il suo browser verifica se il vostro certificato SSL è valido. In caso affermativo, viene creata una connessione crittografata tra il sito web e il vostro server, consentendo la trasmissione sicura di dati come quelli personali o di pagamento:
Inoltre, esistono diversi tipi di certificati SSL che potete installare. Per esempio, un certificato per un solo dominio copre un solo sito web.
Un certificato wildcard, invece, protegge un singolo dominio e tutti i relativi sottodomini. Tuttavia, un certificato wildcard multidominio è la scelta migliore se avete diversi siti web con numerosi sottodomini.
La maggior parte dei provider di hosting di qualità offre certificati SSL gratuiti con i loro piani. Potreste semplicemente contattare il vostro provider e chiedergli di attivare l’SSL.
Per esempio, con Kinsta potete ottenere un certificato SSL gratuito grazie alla nostra integrazione con Cloudflare, che supporta anche i domini wildcard. Tutto ciò che dovete fare è acquistare un pacchetto di hosting, per esempio un hosting WordPress gestito.
Il vostro sito potrà così beneficiare della nostra infrastruttura orientata alla velocità, della protezione firewall e del nostro strumento APM gratuito, integrato direttamente nella bacheca di MyKinsta.
In alternativa potete acquistare un certificato SSL personalizzato da un’autorità di certificazione affidabile come Comodo o DigiCert:
Poi dovrete installare il vostro certificato SSL e verificare che funzioni correttamente. Se avete ottenuto il certificato da un altro fornitore di hosting, potete anche trasferirlo da un altro server.
Cause Comuni del Messaggio di Errore “Could Not Establish Trust Relationship for the SSL/TLS Secure Channel with Authority”
Ecco le cause principali del messaggio “Could not establish trust relationship for the SSL/TLS Secure Channel with Authority”:
- Certificati autofirmati: Questi certificati sono spesso generati gratuitamente. Tuttavia, non offrono la stessa fiducia dei certificati commerciali.
- Certificati scaduti: La maggior parte dei certificati SSL è valida solo per un anno. Pertanto, dovrete rinnovare il vostro certificato quando si avvicina la data di scadenza.
- Certificati non firmati da un’autorità di certificazione (CA da Certificate Authority) affidabile: Come per i certificati autofirmati, un fornitore di certificati meno conosciuto potrebbe non essere considerato affidabile da tutti i browser.
- Certificati SSL gratuiti: Esistono alcune CA gratuite, ma a volte i loro certificati radice devono essere importati manualmente nel browser per eliminare l’errore.
- Certificati che mancano di una catena o di un certificato intermedio: La maggior parte dei certificati affidabili vi chiede di installare almeno un altro certificato di catena/intermedio per collegare il vostro certificato SSL a una fonte affidabile. Tuttavia, questo processo dipende dal browser utilizzato. Per esempio, Internet Explorer può scaricare automaticamente i certificati intermedi, ma Mozilla Firefox no.
L’errore “Could Not Establish Trust Relationship” spesso indica che il vostro certificato SSL non è valido. Pertanto, potreste prendere in considerazione l’idea di effettuare un rapido controllo SSL.
Qualys SSL Labs è completamente gratuito e vi permette di verificare facilmente il vostro certificato. Basta inserire il nome del vostro dominio nel campo Hostname e fare clic su Submit:
Qualys si prenderà un attimo di tempo per analizzare la configurazione SSL/TLS del vostro sito sul vostro server web. Poi vi darà una valutazione del server compresa tra A e F. Inoltre, potrete visualizzare una spiegazione degli errori e degli avvertimenti e scoprire come risolverli.
Di solito è possibile trovare il modo di aggirare l’errore “Could Not Establish Trust Relationship for the SSL/TLS Secure Channel with Authority”. Tuttavia, questa non è sempre l’opzione più sicura per il vostro sito perché può esporvi a minacce alla sicurezza. Ecco perché vi consigliamo di imparare a risolvere il problema affrontando la causa principale.
Come Risolvere l’Errore “Could Not Establish Trust Relationship” (in 3 Passaggi)
Ora che conoscete le cause più comuni dell’errore “Could Not Establish Trust Relationship for the SSL/TLS Secure Channel with Authority”, vediamo tre passaggi per risolverlo!
Passo 1: Verificare gli Errori del Certificato
Per prima cosa, dovrete individuare la causa dell’errore. Questo processo varia a seconda del browser che state utilizzando per accedere al sito web.
Per esempio, in Safari potete fare clic su Show Details per scoprire cosa c’è dietro il messaggio di avviso. In seguito, potrete accedere al sito web o visualizzarne il certificato:
Se selezionate quest’ultima opzione, a volte potrete vedere la causa principale del problema. Nell’esempio qui sotto, potete vedere che il sito web usa un certificato autofirmato che non è stato verificato da una terza parte:
Tuttavia, in Chrome il processo è leggermente diverso. Dovrete invece visualizzare l’avviso Not Secure nella barra di ricerca:
Fate clic sul messaggio di avviso per identificare il problema generale (anche se probabilmente non troverete la causa principale in questa fase). In questo caso, potete semplicemente vedere che il certificato del sito web non è valido:
Se fate clic su Certificate is not valid, apparirà un popup in cui potrete trovare maggiori dettagli sull’errore. Per esempio, potete vedere le date di emissione e di scadenza, oltre a trovare la CA che ha verificato il certificato.
Qui sotto, potete vedere che il certificato SSL è scaduto:
Se passate alla scheda Details, potete visualizzare il numero di serie del certificato, l’algoritmo di firma e le informazioni sulla chiave pubblica.
Qualunque sia il browser che state usando, è fondamentale identificare la causa dell’errore prima di passare alla fase successiva. In caso contrario, potrete perdere tempo con metodi di risoluzione dei problemi inefficaci.
Fase 2: Provare i Suggerimenti Generali per la Risoluzione dei Problemi
Prima di affrontare l’errore con misure più specifiche, vi consigliamo di provare alcuni suggerimenti generali per la risoluzione dei problemi. È facile trascurare dettagli semplici di cui non vi rendete conto ma che hanno impatto sul browser o sul sistema. In realtà, esistono alcuni modi semplici per risolvere i messaggi di errore su vari browser e piattaforme.
Per esempio potete controllare che la data e l’ora del vostro sistema siano corrette. Se le impostazioni non sono corrette, potrebbero rendere non valido un certificato SSL perfettamente valido sul vostro dispositivo.
Su Mac, dovete andare nelle Preferenze di Sistema e selezionare Data e Ora:
Per apportare qualsiasi modifica, potete premere l’icona del lucchetto in fondo al popup:
Potete selezionare il vostro fuso orario usando una mappa o inserire manualmente le informazioni corrette in questa pagina.
Un altro problema comune è che il browser o il sistema non sono stati aggiornati. L’utilizzo di un software vecchio può causare problemi. Inoltre, può rendere il vostro sito più vulnerabile alle violazioni della sicurezza.
Per verificare se il vostro Mac è aggiornato, visitate Preferenze di Sistema. Poi fate clic su Aggiornamento Software:
Potete anche verificare che il vostro browser sia aggiornato. Potete trovare queste informazioni in Google Chrome facendo clic sui tre puntini all’interno del browser. Poi passate il mouse su Aiuto per accedere al menu a tendina e fate clic su Informazioni su Google Chrome:
Chrome inizierà automaticamente a verificare la presenza di aggiornamenti:
Ora lanciate il browser per concludere l’aggiornamento. Ricordate che questo processo sarà leggermente diverso se state lavorando con un browser diverso da Chrome.
Fase 3: Identificare la Soluzione Migliore per il Vostro Errore
La risoluzione dell’errore dipenderà dalla causa che avete identificato nel primo passo di questo tutorial. Ecco quattro scenari comuni!
Il Nome del Vostro Dominio Non Corrisponde a Quello del Certificato
In genere, questo si verifica quando il nome comune del certificato SSL non corrisponde al dominio/URL nella barra di ricerca del browser. Potete trovare il nome comune (hostname) del certificato visualizzando il certificato ed espandendo la sezione Dettagli:
Alla voce Common Name, verificate che il nome corrisponda all’URL che usate per visitare il sito web. A volte, potete fare errori piccoli ma decisivi come la mancanza del “www”.
Molti siti web includono i loro nomi di dominio sia con che senza “www” in modo che i browser non penalizzino gli utenti che digitano l’indirizzo in modo diverso. In ogni caso, avrete bisogno di un certificato in grado di gestire più domini.
Se trovate una disparità tra i nomi e avete un certificato SSL a dominio singolo, dovrete richiedere l’emissione di un nuovo certificato. Tuttavia, se avete un certificato multidominio, potete aggiungere/rimuovere i nomi alternativi dei soggetti (SAN) al vostro certificato.
Il Certificato È Scaduto
Se state utilizzando un certificato scaduto, i vostri visitatori e il vostro sito web sono più vulnerabili agli attacchi. Infatti, un hacker può approfittare di questa situazione impersonando il vostro sito e rubando dati alle persone che lo visitano.
Pertanto, se scoprite che il vostro certificato SSL è scaduto, dovrete installare un certificato valido per preservare l’autenticità e la fiducia nel vostro sito. Vi consigliamo inoltre di impostare un promemoria per rinnovare il certificato prima della sua scadenza.
L’Autorità Root del Certificato Non È Affidabile
Se l’autorità di certificazione non è affidabile, dovrete aggiungere il certificato all’archivio di fiducia del vostro browser.
In Safari, potete farlo per ogni sito web facendo clic su View the certificate. Poi espandete la sezione Trust nel popup e scorrete verso il basso fino alla parte che dice When using this certificate:
Usate il menu a tendina per selezionare Always Trust.
Potete anche modificare tutti i certificati del vostro sistema Mac facendo clic sull’icona del punto interrogativo in questo popup. Poi premete su Open Keychain Access for me:
Alla voce System Roots, andate su Certificates:
Qui potete visualizzare i vostri certificati e gestire le impostazioni di fiducia facendo clic con il tasto destro del mouse sul certificato in questione; poi selezionate Get Info.
Se usate Windows, andate al menu di ricerca e digitate “mmc” per aprire Microsoft Management Control. Poi andate su File > Add/Remove Snap-in:
Selezionate Certificates e poi fate clic su Add:
Selezionate la casella Computer account e poi premete Next. Nel popup seguente, scegliete Locale computer e poi fate clic su Finish:
Nella schermata successiva, fate clic su OK per uscire.
Ora fate doppio clic su Certificates e cercate Trusted Root Certification Authorities. Fate clic con il tasto destro del mouse su All Tasks e selezionate Import:
Si aprirà la procedura guidata di importazione del certificato. Fate clic su Next; poi digitate il nome del file che volete importare o trovate il certificato sul vostro computer:
Per terminare l’aggiunta di un certificato SSL alle autorità di certificazione root affidabili sul vostro computer, premete su Next.
State Usando un Certificato Autofirmato
Un certificato autofirmato non è firmato da una CA. Ci sono alcuni scenari in cui ha senso usare un certificato autofirmato, per esempio durante le fasi di sviluppo del software.
Tuttavia, questo può anche causare problemi di sicurezza e di fiducia con i browser, poiché non è stato verificato da un’autorità affidabile. Inoltre, i certificati autofirmati non possono essere revocati, il che mette maggiormente a rischio il vostro sito web e i vostri utenti. Quando un certificato firmato da una CA è compromesso, il certificato può essere revocato dalla CA per impedirne l’ulteriore utilizzo.
Se state utilizzando un certificato autofirmato (non per scopi di test o interni), probabilmente state bloccando almeno una parte del traffico che accede al vostro sito web. L’unico modo per rendere il vostro sito disponibile e sicuro per tutti gli utenti di internet è quello di ottenere un nuovo certificato emesso da una CA affidabile.
Riepilogo
L’errore “Could Not Establish Trust Relationship for the SSL/TLS Secure Channel with Authority” vi impedisce di accedere ai contenuti che volete vedere perché non è possibile stabilire una connessione crittografata. Inoltre, come proprietari di un sito web, questo messaggio può far sembrare il vostro sito inaffidabile alle persone che lo visitano.
Tuttavia, identificare la causa principale dell’errore è il primo passo per risolverlo. Forse il vostro certificato SSL è scaduto o forse ne state usando uno che non è stato firmato da un’autorità di certificazione (CA) affidabile. In questo caso, potete risolvere il problema facendo emettere un nuovo certificato oppure aggiungere il certificato SSL all’archivio di fiducia del vostro computer.
Uno dei modi più semplici per identificare e risolvere i problemi del vostro sito è quello di usare strumenti di monitoraggio delle prestazioni come Kinsta APM. Il nostro strumento, progettato su misura, cattura i dati relativi ai processi PHP, alle query di database, alle chiamate HTTP e molto altro ancora. Inoltre, il nostro APM è gratuito con tutti i nostri piani. Date un’occhiata ai nostri pacchetti di hosting per trovare l’opzione giusta per il vostro sito web!